1、.安全審計系統(tǒng)需求分析關(guān)鍵字：行為監(jiān)控，內(nèi)容審計摘要：系統(tǒng)集內(nèi)容審計與行為監(jiān)控為一體，以旁路的方式部署在網(wǎng)絡(luò)中，實時采集網(wǎng)絡(luò)數(shù)據(jù)，并按照指定策略對數(shù)據(jù)進行過濾，然后將數(shù)據(jù)所體現(xiàn)的內(nèi)容和行為特性一并存在到數(shù)據(jù)服務(wù)器上。向用戶提供審計分析功能，以及后期取證功能。需求背景按等級進行計算機信息系統(tǒng)安全保護的相關(guān)單位或部門，往往需要對流經(jīng)部門與外界接點的數(shù)據(jù)實施內(nèi)容審計與行為監(jiān)控的，以防止非法信息惡意傳播及國家機密、商業(yè)知識和知識產(chǎn)權(quán)等信息泄露。并且單位的網(wǎng)管部門需要掌握網(wǎng)絡(luò)資源的使用情況，提高單位或部門的工作效率。所涉及的單位類型有政府、軍隊機關(guān)的網(wǎng)絡(luò)管理部門，公安、保密、司法等國家授權(quán)的網(wǎng)絡(luò)安全監(jiān)察

2、部門，金融、電信、電力、保險、海關(guān)、商檢、學(xué)校、軍工等各行業(yè)網(wǎng)絡(luò)管理中心，大中型企業(yè)網(wǎng)絡(luò)管理中心等。一、 實現(xiàn)的效果和目的a. 對用戶的網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)傳輸內(nèi)容審計 （如員工是否在工作時間上網(wǎng)沖浪、聊天，是否訪問不健康網(wǎng)站，是否通過網(wǎng)絡(luò)泄漏了公司的機密信息，是否通過網(wǎng)絡(luò)傳播了反動言論等）。b. 掌握網(wǎng)絡(luò)使用情況（用途、流量），提高工作效率。c. 網(wǎng)絡(luò)傳輸信息的實時采集、海量存儲。d. 網(wǎng)絡(luò)傳輸信息的統(tǒng)計分析。e. 網(wǎng)絡(luò)行為后期取證。f. 對網(wǎng)絡(luò)潛在威脅者予以威懾。二、 典型的系統(tǒng)組成安全審計系統(tǒng)由三部分組成：審計引擎、數(shù)據(jù)中心、管理中心。圖1 ：典型的單點部署審計引擎（硬件）：審計引擎對流經(jīng)

3、HUB/Switch的信息進行采集、過濾、重組、預(yù)分析，并把分析后的數(shù)據(jù)流發(fā)送給數(shù)據(jù)中心。數(shù)據(jù)中心（軟件）：對審計引擎?zhèn)魉瓦^來的數(shù)據(jù)流進行存儲；按照用戶的指令對數(shù)據(jù)進行還原、解碼、解壓縮，并可進行關(guān)鍵字查詢審計、統(tǒng)計分析。管理中心（軟件）：提供WEB形式的管理界面，可以方便的對系統(tǒng)進行管理、對網(wǎng)絡(luò)行為監(jiān)控、內(nèi)容審計。用戶使用WEB瀏覽器可以實現(xiàn)對整個系統(tǒng)的管理、使用。圖2：適合多級管理的分布式部署三、 所需功能細(xì)分1 量監(jiān)控與統(tǒng)計功能 l 對重要IP進行流量監(jiān)測，并繪制出直觀的流量曲線圖，有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。 l 支持對歷史流量統(tǒng)計分析。2 持多種應(yīng)用協(xié)議議的還原、審計l Web瀏覽（

4、HTTP）能完全截獲、記錄、回放、歸檔被監(jiān)測網(wǎng)絡(luò)中所有用戶瀏覽的WEB內(nèi)容。 l 電子郵件（POP3、SMTP、WEB MAIL）能完全截獲、記錄、回放、歸檔被監(jiān)測網(wǎng)絡(luò)中所有用戶收發(fā)的電子郵件。 l 文件下載(FTP)能記錄、查詢訪問FTP服務(wù)器的用戶名、口令?；胤庞脩粼诜?wù)器上的操作過程、還原用戶傳輸?shù)臄?shù)據(jù)。 l 即時聊天（例如MSN、QQ等）能完全記錄用戶登錄時間、離開時間；用戶登錄IP地址、目的IP地址；聊天時使用的用戶名；能監(jiān)視用戶聊天頻率、還原用戶聊天內(nèi)容。 l 流媒體（MMS、RTSP）能記錄用戶訪問的流媒體地址，訪問開始時間、結(jié)束時間，訪問流媒體名稱及簡介。 l 遠程登錄（TEL

5、NET）能記錄和查詢訪問服務(wù)器上TELNET的用戶名和口令字；能記錄和回放用戶在服務(wù)器上的操作過程。 3 支持多種審計方式l 實時監(jiān)控對網(wǎng)絡(luò)中各種應(yīng)用進行實時監(jiān)控分析。 l 行為監(jiān)控可以完全記錄、回放用戶網(wǎng)絡(luò)行為。 l 內(nèi)容查看審計支持網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容的完全還原，后期可以進行內(nèi)容審計、取證。 l 關(guān)鍵詞審計根據(jù)設(shè)定的關(guān)鍵詞，自動快速的進行全文檢索，匹配成功的內(nèi)容將以醒目字體顏色顯示。 l 流量監(jiān)控通過流量監(jiān)控，有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。 l 報表統(tǒng)計通過統(tǒng)計分析，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的危險。4 報表與統(tǒng)計l 支持多種條件的統(tǒng)計分析。 l 完善的報表功能：提供多種專業(yè)化報表和分析圖表5支持多種報警響應(yīng)方

6、式 郵件報警。 l 阻斷。 l TOPSEC聯(lián)動。6靈活全面的審計策略、采集策略。 l 關(guān)鍵詞策略。l 流量監(jiān)控策略。 l 報警響應(yīng)策略。 l 統(tǒng)計分析策略7高速、完整、海量信息處理能力l 零拷貝高速抓包。 l 分布式數(shù)據(jù)采集、數(shù)據(jù)處理。 l 強大的包重組和流重組能力，可以監(jiān)控各種基于協(xié)議碎片的逃避檢測行為。8支持多種編碼、壓縮格式 l 支持多種編碼方式：Base64、Quoted-Printable、UTF-7、UTF-8 l 支持多種壓縮格式：Zip、Rar、Arj、Gz等。9資源監(jiān)控、日志功能l 系統(tǒng)資源實時監(jiān)控。 l 提供完整的操作日志、系統(tǒng)日志記錄,可以進行方便的查看、導(dǎo)入導(dǎo)出。l

7、多級用戶管理，按照功能角色用戶三級進行權(quán)限控制。l 用戶友好的管理，查看界面。l 便捷的的部署方式，支持分布式部署。四、 涉及的關(guān)鍵技術(shù)點1 引擎在引擎上使用裁減過的Linux操作系統(tǒng)，在截包時候使用“零拷貝技術(shù)”，對數(shù)據(jù)進行IP包重組，流重組后，按照會話（session）歸類，形成一個基本分析，傳遞給數(shù)據(jù)中心。問題：l 當(dāng)處理速度不夠的時候，丟包，造成IP包不完整或者會話不完整，數(shù)據(jù)丟失。l “零拷貝”在協(xié)議棧的哪層實現(xiàn)效果更好。l 硬件選擇問題。2 數(shù)據(jù)中心數(shù)據(jù)中心把從引擎得到的數(shù)據(jù)在內(nèi)存中組為大塊數(shù)據(jù)，寫要硬盤，對每個會話所在文件的索引以及會話動作與內(nèi)容的特性寫到數(shù)據(jù)庫中。問題：l 服務(wù)

8、器的選型決定硬盤讀寫速度，硬盤讀寫速度將是整個系統(tǒng)的瓶鏡。寫速度慢，則會造成來不及處理引擎?zhèn)鬟f的數(shù)據(jù)，造成引擎內(nèi)存滿，丟包或者死機。l 海量數(shù)據(jù)的存儲問題，如果策略制定不得當(dāng)，200G硬盤將很快添滿，需要合理的方式預(yù)防這一問題。分布式無疑是一種合理的選擇，但是還涉及技術(shù)性的難題。l 數(shù)據(jù)還原時機。在引擎?zhèn)鬟f數(shù)據(jù)的瞬間做數(shù)據(jù)還原，會降低接受數(shù)據(jù)的性能，而且會造成存儲文件的增大。因此可以考慮在用戶請求查看的時候還原數(shù)據(jù)。l 用戶查詢關(guān)鍵字的效率問題。由前一條問題確定的，在用戶訪問數(shù)據(jù)時候做數(shù)據(jù)還原并緩存，這對查詢是一個很大的問題，用戶將有可能等待很長的一段時間才能得到返回結(jié)果。解決方法：使用Ajax技術(shù)，在服務(wù)器操作的過程中，對進度向用戶提示，防止用戶以為系統(tǒng)故障。l 操作系統(tǒng)和數(shù)據(jù)庫選型。數(shù)據(jù)中心可用平臺有很多，但是數(shù)據(jù)庫的性能也將和磁盤性能一樣，會成為另一個系統(tǒng)的瓶頸所在。3 管理中心用戶使用WEB瀏覽器可以實現(xiàn)對整個系統(tǒng)的管理、使用。考慮到用戶使用的方便性和部署的便捷性，應(yīng)該使用B/S架構(gòu)的WEB瀏覽器方式。問題：l 用戶界面的擴展性問題。l 權(quán)限控制問題?？紤]功能角色用戶三級的權(quán)限控制方式。4其他相關(guān)話題安全審計的另一分支：對入侵檢測、防火墻、各應(yīng)用服務(wù)器、病毒防護軟件等安全產(chǎn)品